중앙 집중식 인바운드 검사

인터넷 연결 애플리케이션은 그 특성상 공격 범위가 더 크고 대부분의 다른 유형의 애플리케이션이 직면하지 않아도 되는 위협 범주에 노출됩니다. 이러한 유형의 애플리케이션에 대한 공격으로부터 필요한 보호를 확보하고 영향 노출 영역을 최소화하는 것은 모든 보안 전략의 핵심입니다.

랜딩 존에 애플리케이션을 배포하면 사용자는 공용 인터넷 (예: CDN (Content Delivery Network) 또는 공용 웹 애플리케이션을 통해 공용 로드 밸런서, API 게이트웨이 또는 인터넷 게이트웨이를 통해 직접 많은 앱에 액세스하게 됩니다. 이 경우 인바운드 애플리케이션 검사를 위한 AWS 웹 애플리케이션 방화벽 (AWS WAF) 을 사용하거나 Gateway Load Balancer 또는 IDS/IPS 인바운드 검사를 사용하여 워크로드와 애플리케이션을 보호할 수 있습니다. AWS Network Firewall

랜딩 존에 애플리케이션을 계속 배포하면서 인바운드 인터넷 트래픽을 검사해야 할 필요가 생길 수 있습니다. 타사 방화벽 어플라이언스를 실행하는 Gateway Load Balancer를 사용하거나 오픈 소스 Suricata 규칙을 사용하는 고급 DPI 및 IDS/IPS 기능을 사용하여 분산, 중앙 집중식 AWS Network Firewall 또는 복합 검사 아키텍처를 사용하는 등 다양한 방법으로 이를 달성할 수 있습니다. 이 섹션에서는 Gateway Load Balancer와 AWS Network Firewall 트래픽 라우팅을 위한 중앙 허브 AWS Transit Gateway 역할을 사용하는 중앙 집중식 배포에 대해 다룹니다.

AWS WAF 인터넷에서 들어오는 인바운드 트래픽을 검사하는 데도 AWS Firewall Manager 사용됩니다.

AWS WAF 가용성에 영향을 미치거나 보안을 손상시키거나 리소스를 과도하게 소비할 수 있는 일반적인 웹 공격 및 봇으로부터 웹 애플리케이션 또는 API를 보호하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. AWS WAF 봇 트래픽을 제어하고 SQL 삽입 또는 XSS (Cross-Site Scripting) 와 같은 일반적인 공격 패턴을 차단하는 보안 규칙을 만들 수 있으므로 트래픽이 애플리케이션에 도달하는 방식을 제어할 수 있습니다. 특정 트래픽 패턴을 필터링하는 규칙을 사용자 지정할 수도 있습니다.

AWS WAF Amazon에서 CDN 솔루션, 웹 서버 앞에 있는 애플리케이션 로드 밸런서, REST API용 Amazon API Gateway 또는 AWS AppSync GraphQL API의 CloudFront 일부로 배포할 수 있습니다.

배포한 후에는 시각적 규칙 작성기 AWS WAF, JSON으로 작성된 코드, 에서 유지 관리하는 관리형 규칙을 사용하여 자체 트래픽 필터 규칙을 생성하거나 에서 제공하는 AWS타사 규칙을 구독할 수 있습니다. AWS Marketplace이러한 규칙은 지정된 패턴을 기준으로 트래픽을 평가하여 원치 않는 트래픽을 필터링할 수 있습니다. 또한 CloudWatch Amazon을 사용하여 들어오는 트래픽 지표 및 로깅을 모니터링할 수 있습니다.

에서 모든 계정과 애플리케이션을 중앙 집중식으로 AWS Organizations관리하려면 다음을 사용할 수 있습니다 AWS Firewall Manager. AWS Firewall Manager 방화벽 규칙을 중앙에서 구성하고 관리할 수 있는 보안 관리 서비스입니다. 새 애플리케이션이 생성되면 AWS Firewall Manager 공통 보안 규칙을 적용하여 새 애플리케이션과 리소스를 손쉽게 규정을 준수할 수 있습니다.

를 사용하면 애플리케이션 로드 밸런서 AWS Firewall Manager, API Gateway 인스턴스 및 Amazon CloudFront 배포에 대한 AWS WAF 규칙을 쉽게 롤아웃할 수 있습니다. AWS Firewall Manager for와 AWS Managed Rules 통합되어 사전 구성되고 큐레이션된 AWS WAF 규칙을 애플리케이션에 쉽게 배포할 수 있습니다. AWS WAF중앙 관리에 대한 자세한 내용은 중앙 관리 AWS WAF AWS WAF (API v2) 및 대규모 관리를 참조하십시오. AWS Firewall Manager AWS Managed Rules AWS Firewall Manager

를 사용한 중앙 집중식 인바운드 트래픽 검사 AWS WAF

이전 아키텍처에서는 애플리케이션이 프라이빗 서브넷의 여러 가용 영역에 있는 Amazon EC2 인스턴스에서 실행됩니다. Amazon EC2 인스턴스 앞에 공개 애플리케이션 로드 밸런서 (ALB) 가 배포되어 서로 다른 대상 간에 요청을 로드 밸런싱합니다. ALB와 AWS WAF 연결되어 있습니다.

장점

• AWS WAF Bot Control을 사용하면 애플리케이션에 대한 일반적이고 널리 퍼지는 봇 트래픽을 파악하고 제어할 수 있습니다.

• Managed AWS WAF Rules for 를 사용하면 빠르게 시작하고 일반적인 위협으로부터 웹 애플리케이션 또는 API를 보호할 수 있습니다. 개방형 웹 응용 프로그램 보안 프로젝트 (OWASP) 10대 보안 위험, Joomla와 같은 콘텐츠 관리 시스템 (CMS) 관련 위협, 새로 등장하는 일반적인 취약성 및 노출 (CVE) 등 문제를 해결하는 규칙 유형 등 다양한 규칙 유형 중에서 선택할 수 있습니다. WordPress 관리형 규칙은 새로운 문제가 발생하면 자동으로 업데이트되므로 애플리케이션 구축에 더 많은 시간을 할애할 수 있습니다.

• AWS WAF 관리형 서비스이므로 이 아키텍처에서는 검사를 위한 어플라이언스가 필요하지 않습니다. 또한 Amazon Data Firehose를 통해 거의 실시간으로 로그를 제공합니다. AWS WAF 웹 트래픽에 대한 가시성을 거의 실시간으로 제공하여 Amazon에서 새 규칙이나 알림을 생성하는 데 사용할 수 있습니다. CloudWatch

주요 고려 사항

• 이 아키텍처는 ALB별, 배포 및 API Gateway에 AWS WAF 통합되므로 HTTP 헤더 검사 및 분산 검사에 가장 적합합니다. CloudFront AWS WAF 요청 본문을 기록하지 않습니다.

• 두 번째 ALB 세트 (있는 경우) 로 이동하는 트래픽은 동일한 AWS WAF 인스턴스에서 검사되지 않을 수 있습니다. 두 번째 ALB 세트에 새 요청이 전송되기 때문입니다.